|
|
|---|---|
|
|
|
|
|
感谢大牛关注 我也用xt看了 没有发现hook呀。。就他自身进程有几个钩子
|
|
|
|
|
|
求关注 !
|
|
|
|
|
|
|
|
|
|
|
|
这个程序加了TMD的壳。
程序做了两件事: 1.不断的去枚举当前的TCP连接的表,从这个表中获取到有SOCKET连接的进程PID,之后再通过PID获取这个PID的进程路径名。之后会去判断这个进程的全路径中是否包含Program Files或者Syswow64等目录名(这个还有其他的,具体我懒得解了,因为在调的时候不关注),如果是符合这些目录名的会进一步检测(这个也不重要)。同时它会比较当前的进程名是否是TeamViewer\Teamviewer.exe 或者 HELP.EXE ,同时会检测这两个进程的连接的端口是否为5938或者80,这两个进程应该是白名单里面可以连网的(具体我也没实验,不过从这个Z.EXE的文件属性描述来看是一个办公的解决方案应该可以推测是对的)。 2.如果不在白名单的进程,程序就修改IP路由表的默认网关IP,改完之后所有程序都不能联网了。 整个程序大概流程类似这样 while (1) { do1(); do2(); }; 这个可以通过运行该程序之后,打开CMD 输入route print来看程序执行的效果,还有再退出程序,对比看就很清楚了。 PS:为了调你这程序花了不少时间,这个KX币你看是不是???   至于那些HOOK,估计是后备方案。怎么触发走后备方案就不清楚了。 |
|
|
|
|
|
|
|
|
|
|
|
|
